suchen

Heim >Betrieb und Instandhaltung >Betrieb und Wartung von Linux >Zusammenfassung der Wissenspunkte zur Linux Centos7-Systemverstärkung

Zusammenfassung der Wissenspunkte zur Linux Centos7-Systemverstärkung

小云云
小云云Original
2018-03-01 09:27:091909Durchsuche

Dieser Artikel stellt Ihnen hauptsächlich die relevanten Wissenspunkte der Centos7-Systemverstärkung unter Linux im Detail vor. Ich hoffe, er kann Ihnen helfen.

Hinweis: Der Cloud-Server in diesem Tutorial verwendet Centos7 oder höher als Beispiel. Der Cloud-Server wird von Alibaba Cloud erworben

Die Cloud-Server-Konfigurationen anderer Dienstanbieter sind ähnlich

Empfehlungen: Es wird nicht empfohlen, grafische Tools auf Linux-Servern zu installieren, da diese Speicher, Bandbreite und Ressourcen beanspruchen und der Schaden die Vorteile bei weitem überwiegt

Aktualisieren Sie das System manuell:

yum -y update

Firewall-Konfiguration:

service firewalld start //Firewall starten
systemctl enable firewalld.service //Start automatisch beim Booten

Selinux-Konfiguration:

vim /etc/selinux/config

Ändern:

SELINUX=enforcing //Erzwingungsmodus festlegen
Neustart // Neustart, um wirksam zu werden

SSH-Konfiguration: (Anti-Brute-Force-Cracking)

useradd normal / /Erstellen Sie einen Systembenutzer und legen Sie fest, dass Sie sich nur über diesen Benutzer remote am System anmelden können
vim /etc/ssh/sshd_config

Ändern:

Port 2000 //Der Port muss größer als 1024 sein
Protokoll 2 //Wenn nicht, fügen Sie ihn hinzu, wenn ja, verwenden Sie ihn nicht
PermitEmptyPasswords nein //Anmeldung mit leerem Passwort verbieten
X11Forwarding nein / /Portweiterleitung verbieten
PermitRootLogin no //Root-Benutzeranmeldung verbieten
MaxAuthTries 3 //Drei Versuche zulassen
LoginGraceTime 20 //In 20 Wenn die Anmeldung nicht innerhalb von Sekunden abgeschlossen werden kann, trennen Sie die Verbindung
AllowUsers normal // Hinzufügen, nur diesem Benutzer erlauben, sich remote anzumelden

Speichern und beenden, SSH neu starten

Dienst-SSH-Neustart

Firewall öffnet SSH-Port

firewall-cmd --zone=public --add-port=2000/tcp --permanent
firewall-cmd - -reload

Selinux öffnet SSH port

yum -y install Policycoreutils-python //Selinux-Portverwaltungstool installieren
semanage port -a -t ssh_port_t -p tcp 2000 //Port hinzufügen
semanage port -l | grep ssh //Zeigen Sie den von Selinux geöffneten SSH-Port an
Service SSHD-Neustart

IP-SPOOF-Angriff verhindern

vim /etc/host.conf

Fügen Sie

nospoof on hinzu

um zu verhindern, dass gepingt wird

vim /etc/sysctl.conf

Wenn ja, ändern Sie es, wenn nicht, fügen Sie es hinzu

net.ipv4.icmp_echo_ignore_all=0

Konfiguration speichern

sysctl -p

Firewall darf nicht gepingt werden

firewall-cmd --permanent --add-rich-rule= 'rule Protocol value=icmp drop'
firewall-cmd --reload

Hinweis: Sie können die Regeln, die das ICMP-Protokoll zulassen, auch in den Sicherheitsgruppenregeln der Alibaba Cloud-Konsole löschen

Aktualisieren Sie das System alle zehn Tage nicht verwendete Software löschen, Yum-Cache leeren

crontab -e

Folgenden Inhalt nach Bedarf ändern

0 0 * /10 * * yum update -y
0 0 */11 * * yum autoremove -y
0 0 */12 * * yum clean all

Firewall verbietet Port-Scanning (centos7 ist ungültig, der Port wird immer noch gescannt, ich weiß nicht, ob er unter Centos wirksam wird7)

iptables -F #Firewall-Richtlinie löschen
iptables -A INPUT -p tcp -- tcp-flags ALL FIN,URG,PSH -j Drop
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j Drop
iptables -A INPUT -p tcp -- tcp- flags SYN,FIN SYN,FIN -j Drop
iptables -A INPUT -p tcp --tcp-flags SYN,SYN --dport 80 -j Drop

Alibaba Cloud Cloud Shield deinstallieren ( Da der Server über wenig Arbeitsspeicher verfügt, schadet Cloud Shield mehr als es nützt. Deinstallieren Sie

wget http://update.aegis.aliyun.com/download/uninstall.sh
chmod +x uninstall.sh
./uninstall.sh
wget http://update.aegis.aliyun.com/download/quartz_uninstall.sh
chmod +x quartz_uninstall.sh
./ quartz_uninstall .sh
pkill aliyun-service
rm -fr /etc/init.d/agentwatch /usr/sbin/aliyun-service
rm -rf /usr/local/aegis*

Hinweis: Nach Abschluss der Deinstallation können die beiden oben genannten Skriptdateien gelöscht werden. Wenn Sie die Datei nicht herunterladen können, wenden Sie sich bitte an den Webmaster, um sie anzufordern!

Cloud Shield IP blockieren, Cloud Shield scannt den Server regelmäßig, um Hackerangriffe zu simulieren

vim Shield_ip.sh

Fügen Sie den folgenden Inhalt hinzu:

#!/bin/bash
echo „开始屏蔽云盾扫描云服务器的IP“
firewall-cmd --permanent --add-rich-rule='rule family=ipv4-Quelle address="140.205.201.0/28" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="140.205.201.16/29" drop'
firewall- cmd --permanent --add-rich-rule='rule Family=IPv4-Quelladresse="140.205.201.32/28" drop'
firewall-cmd --permanent --add-rich-rule='rule Family= ipv4-Quelladresse="140.205.225.192/29" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4-Quelladresse="140.205.225.200/30" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="140.205.225.184/29" drop'
firewall-cmd --permanent --add-rich-rule='rule Family=IPv4-Quellenadresse="140.205.225.183/32" Drop'
firewall-cmd --permanent --add-rich-rule='rule Family=IPv4-Quellenadresse="140.205.225.206/32" Drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="140.205.225.205/32" drop'
firewall-cmd --permanent --add-rich-rule= 'rule family=ipv4 source address="140.205.225.195/32" drop'
firewall-cmd --permanent --add-rich-rule='rulefamily=ipv4 source address="140.205.225.204/32" drop '
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="106.11.224.0/26" drop'
firewall-cmd --permanent --add-rich- Rule='Rule Family=IPv4-Quelladresse="106.11.224.64/26" drop'
firewall-cmd --permanent --add-rich-rule='Rule Family=IPv4-Quelladresse="106.11.224.128/26 " drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="106.11.224.192/26" drop'
firewall-cmd --permanent --add- rich-rule='rulefamily=ipv4-Quelladresse="106.11.222.64/26" drop'
firewall-cmd --permanent --add-rich-rule='rulefamily=ipv4-Quelladresse="106.11.222.128 /26" drop'
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="106.11.222.192/26" drop'
firewall-cmd --permanent -- add-rich-rule='rule family=ipv4 source address="106.11.223.0/26" drop'
firewall-cmd --reload

保存退出

chmod +xshield_ip.sh
./shield_ip.sh

注意:这些IP地址段来源于阿里云官方给的云盾服务器IP,来源: (https:// help.aliyun.com/knowledge_detail/37436.html)

编码设置:

vim /etc/locale.conf

删除原有,添加如下内容:

LANG=zh_CN.utf8 //中文界面
LC_MESSAGES=en_US.utf8 //英文提示

reboot. //重启生效

进入阿里云控制台,云服务器ECS–>安全组– >配置规则–>添加安全组规则

安全组添加ssh端口,否则外网是无法进入的,包括ftp和Apache的端口不在安全组开放的话xshell的使用不再赘述,登录成功后

su - root //提权

注意:在阿里云控制台远程连接登录系统后,不能以任何用户一直处于登录状态, 使用系统完后, 必须退出用户登录, 界面保持用户名的界面令

abmelden //beenden也可以

注意:root用户的话必须退出两次才可以

最后:在阿里云控制台–>安全(云盾)–& gt;态势感知–>开启态势感知服务–>设置邮箱或短信提醒

相关推荐:

Centos7的方法分享

centos7上elastische Suche安装详解

Centos7在Linux下安装Mysql5.7.19的教程(图)

Das obige ist der detaillierte Inhalt vonZusammenfassung der Wissenspunkte zur Linux Centos7-Systemverstärkung. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Stellungnahme:
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Vorheriger Artikel:Detaillierte Erläuterung des Installationsbeispiels der PHPize-Erweiterung unter LinuxNächster Artikel:Detaillierte Erläuterung des Installationsbeispiels der PHPize-Erweiterung unter Linux

In Verbindung stehende Artikel

Mehr sehen